エクスプロイト&脆弱性
React Server Componentsの重大な脆弱性「CVE-2025-55182」: セキュリティ担当者が押さえるべきポイント
脆弱性「CVE-2025-55182」は、React.js、Next.js、関連フレームワークで利用されるReact Server Components に影響する、認証不要のリモートコード実行脆弱性です。CVSS 10.0という非常に高い深刻度が割り当てられています。
- 認証されていない攻撃者が、単一の HTTP リクエストでサーバを完全に侵害するおそれがあります。
- Next.js 15.0.5+、15.1.9+、15.2.6+、15.3.6+、15.4.8+、15.5.7+、16.0.7+
- React 19.0.1+、19.1.2+、19.2.1+
- すぐにパッチ適用が難しい環境では、可能な範囲でServer Functionsを無効化し、WAF ルールを展開する対応が求められます。
- 情報漏洩、ランサムウェア被害、コンプライアンス違反、業務中断など、事業に直結する重大な影響が想定されます。
- React.js 19 系、Next.js 15 系および 16 系を使用している組織は、速やかにアップグレードを実施してください。
早急に対応を開始する必要があるため、こちらのナレッジベース記事(英語)を参照して対応を進めてください。
https://success.trendmicro.com/en-US/solution/KA-0021831
脆弱性「CVE-2025-55182」について
現代のWebは、ユーザインターフェースを構築するためのJavaScript ライブラリである「React」を基盤としています。上位1万サイトの40パーセント以上がこのフレームワークを採用しており、Reactはエンタープライズ向けアプリケーション、ECプラットフォーム、重要な業務システムを支える中核的存在となっています。2025年12月3日、Meta(Facebook)のセキュリティチームが、React Server Components に影響する認証不要のリモートコード実行脆弱性である「CVE-2025-55182」を公開しました。
CVE-2025-55182 は、React Server Componentsにおけるデータのデシリアライズ処理に起因する問題を意味します。この脆弱性はHTTP リクエストを処理する際のコアとなるペイロードデコード部分に存在し、Reactがリクエストをサーバ側の関数呼び出しへと変換する際に、十分なセキュリティ制御を伴わないままデシリアライズを行うことが、攻撃者による任意コード実行につながる経路を作り出しています。
この脆弱性が特に危険視される理由は、その到達しやすさにあります。攻撃者は認証情報を必要としません。複雑な脆弱性連鎖を構築する必要もありません。任意の Server Function エンドポイントに対して細工された単一の HTTP POST リクエストを送るだけで、標的サーバを侵害できてしまいます。
影響を受けるパッケージは以下の通りです。
- react-server-dom-webpack 19.0.0 から 19.2.0
- react-server-dom-parcel 19.0.0 から 19.2.0
- react-server-dom-turbopack 19.0.0 から 19.2.0
React Server Componentsを基盤とする主要なフレームワークも影響を受けており、Next.js(15系および16系)、React RouterのRSC API、Expo、Redwood SDK、Waku、各種 Vite および Parcel プラグインが含まれます。
想定される影響
認証を必要としないリモートコード実行の脆弱性は、攻撃者にとって最も価値が高い攻撃手段の一つです。CVE-2025-55182 によって、攻撃者は次のような行為を実現できる可能性があります。
インフラ侵害: 攻撃者がサーバプロセス権限でリモートアクセスを取得し、ファイルシステム全体へのアクセス、認証情報の収集、永続的なアクセス手段の設置が可能となります。
データ送出: インフラが侵害された後、顧客データベース、API キー、業務ロジック、知的財産が取得される可能性があります。
水平移動・内部活動: 侵害された React サーバがネットワーク内部への踏み台となり、内部システム、データベース、クラウドリソースへの攻撃が進行することが想定されます。
緊急対応ステップ
対象バージョンを運用している場合、速やかに対応を開始する必要があります。
優先度 1: 直ちにパッチを適用すること
次のバージョンへのアップグレードを推奨します。
- React 19.0.1+、19.1.2+、19.2.1+
- Next.js 15.0.5+、15.1.9+、15.2.6+、15.3.6+、15.4.8+、15.5.7+、16.0.7+
優先度 2: 代替策の実施
即時パッチ適用が困難な場合、次の対応を検討してください。
- 直列化処理に関連する不審なパターンを遮断するWAFルールの展開
- リバースシェルの発生を防ぐ厳格な送信ネットワーク制御
- すべてのServer Function呼び出しに対する詳細なログ取得の有効化
優先度 3: 多層防御の強化
長期的なセキュリティ態勢の確立には次の取り組みが求められます。
- Node.jsプロセスを最小権限で運用する構成
- 制限付き機能を持つコンテナ分離の活用
- ランタイムアプリケーション自己防御(RASP)の導入
- JavaScript依存関係に対する定期的な脆弱性スキャンとパッチ適用
現在の確認状況
トレンドマイクロのリサーチ・レスポンスチームは、この脆弱性が公開されて以来、継続的に監視を続けています。テレメトリ分析、セキュリティコミュニティで共有されているPoC(概念実証)の検証、エンタープライズ環境向け検出シグネチャの開発を進めています。
実際の環境において、悪用を試みる攻撃が確認されています。これらの攻撃は、セキュリティコミュニティ内で流通している PoC と一致する傾向があります。危険な設定を含む PoC に基づいた攻撃も確認されており、React2Shell とは無関係です。CVE-2025-55182 を悪用した有効な攻撃が存在するかどうかを特定するため、脅威対応チームが継続的にハンティングを行っています。
金融、テクノロジー、EC などの分野で、標的型の偵察や悪用の試行が確認されています。
提供可能な支援
トレンドマイクロのセキュリティチームでは、CVE-2025-55182の公開直後から追跡し、検出シグネチャの開発、PoCの分析、エンタープライズ向けの対応ガイダンス構築を進めてきました。
提供可能な支援は次の通りです。
- 脆弱性アセスメント: インフラ全体で影響を受けるReact環境を迅速にスキャン
- 検出エンジニアリング: 誤検知を最小化した環境最適化型IDS/IPSルールの作成
- インシデントレスポンス体制強化: React Server Components侵害に特化した手順書とプレイブック
- リメディエーション支援: 事業継続への影響を抑えつつパッチを適用するための専門的なアドバイス
参考記事:
Critical React Server Components Vulnerability CVE-2025-55182: What Security Teams Need to Know
By: Peter Girnus
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)